|
| 谁在拖延SSL VPN的脚步? |
|
| 作者:佚名 文章来源:不详 点击数: 更新时间:2007-1-22 11:16:04 |
|
SSL VPN 算是老生常谈的话题了,这个概念从两年前就开始被提及,而且国外对相关公司的收购一度在去年达到高潮。今年呢?
究竟在国内,SSL VPN 是否被看好呢?这个产品被宣传的重点是移动性以及解决了移动员工安全访问企业内部信息资源,在国内的销售情况如何?安全渠道对此产品的评价怎么样呢?
为什么国内销售受阻
和历史悠久的IPSec VPN 比较起来,SSL VPN 在国内还只算是刚刚起步。究竟是谁在拖延SSL VPN 国内发展的脚步?
虽然和IPSec VPN 相比,SSL VPN 更强调的是那种多点终端的远程安全访问特点,但如果仔细研究具体案例,会发现目前绝大多数的情况,还只限网间到网间的安全通道设立,这种情况占据到80%左右。而这正是IPSec VPN 的优势所在——强在网间的VPN 隧道建立。
我们都只看到了SSL VPN 的美好前景,但是这一天究竟什么时候能够到来,我们无法预计。
而且,虽然如Symantec、Cisco 等公司都有收购SSL VPN 公司来补充自己的产品线,但是这两家公司却都把SSL VPN 产品留在了国外,在国内还是没有办法见到相关产品的身影,这多少有些遗憾。Symantec公司不愿意透露姓名员工说,Symantec SSL VPN产品之所以没有在中国销售的主要原因,还是认为国内应用没有到那种程度,目前暂不适合在国内推广,果真如此吗?
究竟,是什么样的原因导致SSL VPN 在国内销售受阻呢?
有人说是应用情况。“现实情况是,很多企业在网络安全方面的应用很少,偶有网络运营商会为客户提供VPN 服务,但那种情况仅局限在网络到网络之间,那是应用IPSec VPN 的,更多的企业还只是把安全概念停留在企业内部之间,SSL VPN 所宣传的企业在外人员能够安全便捷访问企业内部资源不太现实,大家的思路还没有到那个地步。”某位安全渠道成员说。
某公司技术经理也承认,他们公司销售的IPSec VPN 产品还是占据大多数,他也认为,目前鲜有移动人员需要通过SSL VPN 隧道访问公司内部资源的需求,即使有,这种公司大多数局限在某些非常特定的行业,比如证券等行业。
F5公司吴若松认为,SSL VPN 在国内市场不大,是因为中国的VPN 市场还处在初级阶段,很多用户的需求是网络对网络的安全互联,这属于IPSec VPN 的适用范畴;而对SSL VPN 所支持的“远程安全访问VPN ”则需求不多,即使有需求,也是把它当作是对IPSec VPN 技术的补充来看待。
“而且,IPSec VPN 并非只是局限于网络对网络之间VPN 隧道建立,它自身也有部分支持远程访问的功能。”吴若松认为,虽然IPSec VPN 对远程访问功能的支持远远没有SSL VPN 那般完善、强大,但国内不少用户却产生混淆,认为IPSec VPN 的远程访问支持和SSL VPN 的相差无几。
SSL VPN 推广不利的另外一个因素在于价格。同IPSec VPN 比较,SSL VPN 的价格主要由企业内部放置的SSL VPN 网关决定,IPSec VPN 价格则由安装在员工电脑中的VPN 终端软件,加上企业内部的IPSec VPN 终结设备价格构成。
一般情况下,SSL VPN 网关价格远远超出单独的IPSec VPN 终结设备,而且当前很多防火墙已经把IPSec VPN 终结做为一个默认功能安装进去,无需再购买专门的IPSec VN终结设备,同样,由于IPSec VPN 已经发展很长时间,大多数主流操作系统已经集成了IPSec VPN 的终端软件(比如Windows );而SSL VPN 则没有这种情况。这样,SSL VPN 超高的价格,也限制了它应用的普及性。
但也有人持不同观点,比如SSL VPN 设立在企业中的网关设备是按照每秒多少在线用户来计算,而IPSec VPN 设备是按照企业有多少个应用IPSec VPN 的用户数目来收费的。以一个500 人的企业来说,如果这500 名员工都可能采取VPN 方式连接企业网络,那么采取IPSec VPN 方式,企业需要购买一个具备500 个授权的网关设备,另外再加上500 个客户端软件费用,总共加起来大概在2 万美金;而采取SSL VPN 方式,按照惯例,取1 :10的比例(如果100 个人都可能采取VPN 方式,同一时间会有10个人利用VPN 隧道),则需要购买一台licence 为50的网关设备,价格也会在20万左右。
SafeNet 公司网络安全部销售总监高军甚至认为,不仅SSL VPN 没有普及,就连IPSec VPN 在国内的市场还处在起步阶段。“这是一个观念的问题,”高军说,“SSL 这个词汇给人以前的印象太深刻了,以至于很多人提及SSL VPN 时候就想起电子商务中的SSL 加密传输,而这只不过是SSL VPN 功能的一个部分。这种概念上的混淆对SSL VPN 推广容易造成影响。”
“我们接触过很多客户,40%~50%的客户还在把VPN 概念停留在一种‘安全连接’上,具体怎样安全连接,能给他们带来什么样好处,客户知之甚少。”航天计算机集团公司网络安全产品部门经理吕向辰说。
除了客户观念尚未彻底转变,现实应用的缺乏,是制约SSL VPN 发展的最重要因素。“国内绝大部分客户还没有协同工作的习惯,举例子来说,那种网络型的OA、ERP 等还没有发展起来。客户缺乏一种协同办公、远程网络办公的环境和习惯,这限制了SSL VPN 在国内发展。”
而且,吕向辰所在的网络安全部门现代理SafeNet 公司的SSL VPN 产品,他透露,目前公司有一些客户案例,但都是高端的用户,IT应用程度很高。“目前没有太多行业特点,但都是各个行业相应‘拔尖’的公司,应用多在ERP 或者公司的营销管理系统上,比如电力、物流、金融、电信、电信和IT行业等。”
SSL VPN 率先从哪里突破
“企业拥有在外办公员工越多,就越可能率先采取SSL VPN ,”吴若松说,“比如一些大型企业‘精简机构’,希望那些旅行的员工可以异地安全访问企业网络资源或者应用,SSL VPN 比IPSec VPN 有更好的表现。”
据统计,SSL VPN 更多地会率先在以下几个行业得到应用:保险业、银行、金融、证券行业、电信行业的无线网络应用。这些行业在IT上投资很大,而且那种集中化管理、远程安全访问的应用需求体现得最为明显。
IPSec VPN 和SSL VPN 定位不同,导致各自面向不同的用户需求。做为比较成熟的产品,IPSec VPN 主要应用在网络对网络环境下,而SSL VPN 则主要应用在远程移动访问的环境下。
举个例子,一个公司在外地有四个分支机构。如果总公司和子公司之间都需要数据的相互传输、备份,这种情况适合IPSec VPN 的使用,因为数据的传输是双向的。
还是这个例子,假如总公司不需要向子公司传输大量的数据,相反,子公司需要向总公司进行数据的集中汇总,则SSL VPN 适合,因为数据的传输大部分是子公司向总公司单向传输的。这个情况比较明显,比如很多企业实现了ERP ,子公司业务数据需要安全地集中、汇总到企业总部。SSL VPN 在这种企业有销售的可行性。
如果企业的网络结构是星型分布,而且需要频繁访问企业中心数据,就很适合SSL VPN 方案;反之,如果企业网络多样化,既有星型,也有网状结构,那么适合IPSec VPN 方案。
再举个例子,目前很多连锁经营的企业,采取的是数据分级的传输方式。比如说一个超市,经常是POS 机里面的数据集中到本地服务器中,然后本地服务器再统一把数据传输到上一层的数据记重点……通常数据会采取分级传输机制。这种情况下,IPSec VPN 适合,SSL VPN 不适合。
一般来说,企业分支越多,SSL VPN 就越适合。如果企业只有2 、3 个分支的话,那么SSL VPN 和IPSec VPN 相比体现不出价格上的优势,如果分支超过10个左右,那么SSL VPN 的价格优势体现得相当明显。
当前SSL VPN 受到的限制还比较多,比如它无法像IPSec VPN 一样,可以支持几乎所有的应用,而且,SSL VPN 由于是在应用层面进行防护,它适用的环境是企业有“应用集中”的需求,比如说企业后台会有一台专门的“应用服务器(比如说Web 、Mail、ERP 等等)”,员工远程访问此应用服务器,SSL VPN 则对相关应用进行保护。但这也从另外一个方面说明,SSL VPN 不适合那些不需要中心“应用服务器” 做“中转”的应用,比如说一些员工和员工之间“点对点”类型的应用,象目前企业内部应用较多的数据语音通信等。
SSL VPN 的销售思路
渠道需要有更高的能力,才能销售好SSL VPN.“从渠道层面看,IPSec VPN 的渠道强调分销能力,SSL VPN 渠道则必须强调集成技术能力。” 高军认为,和IPSec VPN 不同,SSL VPN 需要SI考虑用户应用层面的安全防护,这和网络层面的安全防护明显不同。
这也是一个共识,网络层的安全控制相对容易掌握,相对说,应用层的安全控制十分负责难懂,因为它是最贴近用户应用的,只要用户的需求千差万别,那么应用层安全产品的配置就会随之而变。
北京安泰网安网络科技有限公司是一家相当专业的安全领域SI,这家公司98年开始做NetScreen 产品国内代理,现在,又签约F5公司,做为其SSL VPN 产品的独家代理。该公司总经理邓臻将SSL VPN 产品定位在中高端的安全产品,他承认SSL VPN 在国内市场不大,但他自言,已经寻求到了销售的思路。
“我们把SSL VPN 产品定位在网络安全领域的‘奢侈品’,所以SSL VPN 销售目标的目标客户定位在高端,他们有这个实力,也有这个需求。”邓臻说,目前已经有很多高端客户在和他们联系,甚至开始签约SSL VPN 产品。
相比IPSec VPN 设备,SSL VPN 设备无论是在价格,还是在形象上,都落在了高端的区域。这点销售渠道尤其需要注意。“从应用上来看,中小型企业需求在防火墙层次,VPN ,尤其是SSL VPN 距离它们比较遥远,而金融、电信等大行业客户最有可能率先采用。”邓臻说。
邓臻认为,销售好SSL VPN 需要渠道有以下几个方面基础:第一,定位准确,安泰网安的定位是高端客户;第二,有好的客户基础,由于以前销售NetScreen 的中高端产品,因此该公司客户也是以高端、大型客户居多;第三,需要找准好的品牌销售;第四,也是他认为最重要的,渠道需要有专业的服务来配合。
说到SI的服务似乎和本选题有些脱节,但是邓臻认为,安全领域的SI和其他领域SI最大的不同之处就在于服务能力,服务给安全领域SI带来的不仅是客户的认同,而且还能带来实际的收益。邓臻透露,目前该公司仅服务一项带来的利润,就在30%左右。“和IPSec VPN 产品比较,SSL VPN 对SI的服务能力提出了更高的要求,服务门槛也更高了,但我们更乐意看到好的服务能力给我们带来的丰厚回报。”
此外,渠道普遍反映,IPSec VPN 的服务利润很低,大家做得兴趣不大,而SSL VPN 则不然。“由于IPSec VPN 是在网络层面建立安全隧道,所以安装调试比较麻烦,需要在客户路由器或者防火墙端做配置工作,而且,客户端需要安装软件,很繁琐,我们的技术工程师的时间好多浪费在给客户端安装软件上了。”某SI说道。
销售SSL VPN 和销售防火墙产品有所不同,并非安全渠道手中有资金就可以玩转的。对于硬件防火墙产品来说,渠道进入的们门槛主要体现在:品牌(产品本身品牌、渠道自己打造出来的名气)、规模(操作安全产品的盘子有多大)、厂商支持(厂商能够提供认证、培训在内的服务上)、服务能力(渠道自己的服务能力)上面。
什么在驱动国内SSL VPN 发展
虽然SSL VPN 在国内安全领域蹒跚起步,但是它前景光明。远程安全访问是个未来业务趋势,尤其国内笔记本销售在逐年增长情况下,这种移动的计算通信工具迫切需要专门为其量身定做的远程安全访问方案,SSL VPN 无疑是最适合的一种。
而且,未来这种协同工作的趋势将会越来越明显。伴随企业信息化程度的加深,企业和分支、企业和外地员工之间联系将不随地域分隔而分开,从信息流的传输、交融角度来看,它们之间更向一个整体,远程安全访问、协同工作的需求会日益明显,这给SSL VPN 带来了用武之地。而且,国内已经有一些眼光超前的ISV 开始行动起来了,比如王志东所创办的“点击科技”,其产品所传达的理念,就是协同工作的模式。
第三,从国家对安全产品的限制来看,SSL VPN 的发展似乎也更符合我国“国情”。看IPSec VPN 产品,产品本身涉及到加密算法,而我国国家规定,在政府、军队等信息敏感部门,要采取经过国家相关部门认证的“第三方”加密算法。实际上,很多IPSec VPN 的厂商,都是在采取自己的一套加密算法,虽然大家也都在口头上表示支持第三方加密算法,但是在同自身硬件紧密结合上,以及由此带来的加密效率和性能体现上都不尽如人意。
所以我们经常可以看到这样一个“有趣”现象,很多国外安全厂商在竞标电子政务等项目时候,都把自己的IPSec VPN 产品当做是“防火墙”来申报,其原因,就是国家对加密算法的限制所致。
而SSL VPN 则不存在这个问题,由于其加密算法是由SSL 协议实现,而且这SSL 是在浏览器中受到支持。除非国家禁止浏览器的使用,否则就没有办法来严禁当前SSL VPN 的加密算法,而这是几乎不可能出现的情况。
|
|
| 文章录入:admin 责任编辑:admin |
|
|
上一篇文章: Juniper为SSL VPN远程接入提供威胁控制
下一篇文章: 将从IIS 6.0中导出的SSL证书导入到ISA Server 2004 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)